X.509 istemci sertifikaları eğer mu kimse bilgi: Kısa versiyon sözde IMAP posta iPad'de işe? Çalışmak için işe yaramayan bir özellik almaya çalışırken zamanımı mı harcıyorum? Yerleşik posta uygulaması X.509 istemci sertifikalarıyla IMAP'yi desteklemiyorsa (yani: yalnızca Microsoft Exchange ActiveSync hesaplarıyla çalışırlar), bunu yapan herhangi bir üçüncü taraf uygulaması var mı?
Yalnızca iOS 5.1 veya daha yenisi ilgi çekicidir; 5.1, test ettiğim sürüm.
IMAP posta sunucumuz (Cyrus IMAPd) ve SMTP sunucumuz (postfix) dahil olmak üzere tüm harici iletişimleri korumak için X.509 istemci sertifikalarını kullanma ilkesinin gerektirdiği bir ağın yöneticisiyim. Ayrıca, istemci geçerli bir X.509 istemci sertifikası sunmadan bağlantıyı kabul etmez. İstemci sertifikası gereksinimini devre dışı bırakmak benim için bir seçenek değil ve benzer nedenlerle VPN üzerinden trafiği tünellememize izin verilmiyor.
Şimdi ağımıza bağlanmak isteyen ve iPad'i biraz sorun olarak bulan iPad kullanıcılarımız var.
Masaüstü bilgisayarlardaki kullanıcılar için, mükemmel istemci sertifikası desteğine sahip kaya gibi sağlam IMAP'e sahip olduğu için genellikle Thunderbird'ü yüklüyoruz; "sadece çalışır" ve her platformda desteklemek için aynıdır. Bu iPad için bir seçenek değil.
Ne yazık ki iPad'in yerleşik Posta uygulaması IMAP için istemci sertifikalarıyla başa çıkmıyor gibi görünüyor. İPhone Yapılandırma Yardımcı Programını kullanarak kuruluşumuzun kök sertifikasını ve kullanıcının istemci sertifikasını yükleyebilirim. Her ikisi de Ayarlar-> Genel-> Profiller'de "doğrulandı" olarak gösterilir. Daha sonra iPad sunucumuzu güvenilir olarak kabul eder ve sunucunun kimliği doğrulanmadığına dair uyarıları atlar.
Posta istendiğinde posta yine de bir istemci sertifikası gönderemediğinden sunucu el sıkışmasını sonlandırır. Kullanıcıdan bir tane seçmesini istemez veya sunucu tarafından sunulan CA sertifikasıyla eşleşen kullanıcı için yüklediği istemci sertifikasını otomatik olarak göndermez.
İstemci ve sunucu arasındaki trafik akışının incelenmesi, iPad sunucu tarafından istemci sertifikaları istendiğinde boş bir istemci sertifikası kümesiyle yanıt verdiğinde TLS anlaşmasının başarısız olduğunu gösterir. Aşağıya bakınız.
Posta almak için hiçbir istemci sertifikasının gerekli olmadığı şifreli WiFi üzerinden dahili ağa bağlandığında, cihaz postaları iyi bir şekilde bağlar ve indirir. IMAP bağlantı noktası 993'ü "SSL Kullan" işaretli veya IMAP + TLS bağlantı noktası 143'ü "SSL Kullan" işaretli veya işaretsiz olarak kullansam da harici erişim (genel WiFi veya 3G üzeri) başarısız olur. IMAP için istemci sertifikası müzakere desteğinin görünürdeki eksikliği dışında, mükemmel.
Apple'ın "Enterprise desteği" belgesindeki istemci sertifikası desteğine referanslar yalnızca Microsoft Exchange ActiveSync'in ve Cisco VPN desteğinin tartışıldığı yerlerde görünür.
Apple'ın tartışma forumlarında birkaç soru var, ancak yakın zamanda sorulan sorular ve faydalı cevaplar yok. Onlarla bağlantı kurarım, ancak Apple'ın forumları şu anda "bakım için kapalı".
Geçici bir çözüm olarak, iPad'in otomatik VPN bağlantı desteğini kullanarak, yalnızca uygun bağlantı noktaları artı DNS'deki IMAP ve SMTP sunucularıyla konuşabilen başka bir şey olmayan, istemci onaylı bir IPSec VPN ile konuşmak için kilitli bir VPN kurabilirim . Yine de sürdürmek oldukça korkunç bir hack olurdu.
BTW, istemci <-> sunucu konuşması:
- C -> S TLSv1 Müşteri Merhaba
- S -> C TLSv1 Sunucusu Merhaba
- S -> C TLSv1 Sertifikası, Sertifika İsteği, Sunucu Merhaba Tamamlandı (Sunucu sertifikasını, imzalama kök sertifikasını, sunucu sertifikasını imzalayan kökle aynı olan kabul edilen istemci sertifikası imzalayan kişinin DN'sini gönderir)
- C -> S TLSv1 Sertifikası (boş sertifika seti, sıfır sertifika dahil)
- S -> C TLSv1 El sıkışma hatası
Başka bir deyişle, sunucu "bu benim, kim olduğunuzu kanıtlamak için yetkili makam tarafından imzalanmış bir sertifika sağlamanızı bekler" der ve müşteri "Um, kağıtlarım bu boş zarfın içindedir. Bakın, bir cassowary! "
İstemcide kök sertifikası yüklüdür ve sunucu tarafından istenen imzalayan DN'yi içeren bir istemci sertifikası yüklüdür.